3环获取0环模块加载基址

最新推荐文章于 2022-10-08 20:28:56 发布
最新推荐文章于 2022-10-08 20:28:56 发布
阅读量258 收藏
点赞数 2
分类专栏: 备忘 
static ULONG_PTR get_mod_base(char *name)
{
	int i;
	RTL_PROCESS_MODULES *m;
	DWORD got = 0;

	NTSTATUS ret = NtQuerySystemInformation(
		SystemModuleInformation, NULL, 0, &got);
	if (ret != STATUS_INFO_LENGTH_MISMATCH)
		return 0;

	m = malloc(got);
	if (!NT_SUCCESS(NtQuerySystemInformation(SystemModuleInformation, m, got, &got))) {
		free(m);
		return 0;
	}

	for (i = 0; i < m->NumberOfModules; i++) {
		RTL_PROCESS_MODULE_INFORMATION *p = m->Modules + i;
		if (!stricmp(name, (char*)p->FullPathName + p->OffsetToFileName)) {
			ULONG_PTR ret = (ULONG_PTR)p->ImageBase;
			free(m);
			return ret;
		}
	}
	free(m);
	return 0;
}
苹果的心愿
关注
专栏目录
Rust OS Dev消息队列和动态内存分配、微内核操作系统开发等方面的最佳实践
AI天才研究院
07-29 1360
自从20年前开源界流行了Linux操作系统后,有很多企业也纷纷转向Linux操作系统,原因之一就是开源社区的强大生态,尤其是Rust语言的发明和广泛应用。然而,面对Rust语言带来的高效率和安全性,一些公司却觉得这种高性能和安全性无法完全体现出来,并且也因此想开发一款基于Rust语言和 Linux 内核 的操作系统。此时,基于微内核模式的操作系统诞生了,可以满足更多复杂场景下的系统需求。消息队列和动态内存分配、微内核操作系统等方面就是微内核操作系统开发最重要的部分。本文将主要讨论这些方面的最佳实践。
0权限高还是3_0到3
weixin_26722031的博客
07-29 1209
0权限高还是3Most likely, you’re aware of the hardware “protection rings” in Intel Architecture processors — the familiar “Ring 0” for the kernel through “Ring 3” for userland. But, have you ever heard of...
windows 显示程序加载地址的三种方法
god_wen的博客
07-05 678
#include<iostream> #include<windows.h> #include<tchar.h> //因为这个变量是启动函数 调用入口函数时传递的。所以我们在这里说明一下在别的地方已经定义了 EXTERN_C IMAGE_DOS_HEADER __ImageBase;void dumpModule() { //GetModuleHandle参数如果为nullptr,就返回本进程的内存
6.1、3程序和0驱动的通信
Windows内核学习笔记
07-10 389
驱动设备对象结构体 //Defined in ntddk.h // STRUCT PDEVICE_OBJECT typedef struct DECLSPEC_ALIGN(MEMORY_ALLOCATION_ALIGNMENT) _DEVICE_OBJECT { CSHORT Type; USHORT Size; LONG ReferenceCount; //驱动设备对象被引用了多少次 st...
ZwQuerySystemInformation函数查询SystemModuleInformation
gold0523的专栏
04-13 6372
<br />使用ZwQuerySystemInformation函数查询SystemModuleInformation <br /><br />在看到两种用法 <br />第一种: <br />ZwQuerySystemInformation(SystemModuleInformation,&n,0,&n); <br />PULONG p=new ULONG[n]; <br /><br /><br />ZwQuerySystemInformation(SystemModuleInformation,p,n*
驱动开发:判断自身是否加载成功
CSDN
10-08 1万+
在驱动开发中我们有时需要得到驱动自身是否被加载成功的状态,这个功能看似没啥用实际上在某些特殊场景中还是需要的,如下代码实现了判断当前驱动是否加载成功,如果加载成功, 则输出该驱动的详细路径信息。这是一个微软未公开的函数,也没有文档化,不过我们仍然可以通过动态指针的方式调用到它,该函数可以查询到很多系统信息状态,首先需要定义一个指针。该结构同样是一个未文档化的结构体,本此代码中需要用到的枚举类型是。是核心函数,我们看下该函数具体是如何实现的,原理很简单。其他类型也放这里后期做参考用。该功能实现的核心函数是。
易语言源码易语言取模块基址源码.rar
02-18
每个模块在内存中都有一个基地址,它是模块加载时的起始地址。在易语言中,我们可以使用内建的API函数来获取模块基址。 1. **API调用**:易语言支持调用Windows API,这通常是通过`系统.调用`命令完成的。例如,...
android 卸载已加载的so,技术分享 - 基于PsSetLoadImageNotifyRoutine实现监控模块加载并卸载已加载模块...
weixin_30387635的博客
05-27 641
背景对于内核层实现监控模块加载,包括加载DLL模块、内核模块等。你也许会想到 HOOK 各种内核函数来实现。确定,在内核层中的 HOOK 已经给人留下太多深刻的印象了,有 SSDT HOOK、Inline HOOK、IRP HOOK、过滤驱动等等。但是,Windows 其实给我们提供现成的内核函数接口,方便我们在内核下监控用户层上模块加载的情况,即 PsSetLoadImageNotifyRou...
利用FS寄存器获取KERNEL32.DLL基址算法的证明
sea
01-09 5049
FS寄存器指向当前活动线程的TEB结构(线程结构)偏移  说明000  指向SEH链指针004  线程堆栈顶部008  线程堆栈底部00C  SubSystemTib010  FiberData014  ArbitraryUserPointer018  FS段寄存器在内存中的镜像地址020  进程PID024  线程ID02C  指向线程局部存储指针
8.程序手动实现加载、运行、停止、卸载驱动
Mikasys的博客
10-30 1165
0x7.程序实现(ring3)加载、运行、停止、卸载驱动 一、手动加载驱动步骤 用GetFullPathNameA获取驱动的完整路径 用OpenSCManager打开服务控制管理器 用CreateServiceA创建服务 如果服务创建已存在,直接用OpenServiceA打开服务,否则用StartServiceA开启服务 二、卸载 用OpenSCManager打开服务控制管理器 用OpenServiceA打开服务 用ControlService停止驱动服务 三、代码实现 主要功能:用户输入PID,r
System_mudule_information
whispermemory的专栏
09-19 963
typedef struct _SYSTEM_MODULE_INFORMATION { ULONG ModulesCount; SYSTEM_MODULE Modules[0]; } SYSTEM_MODU
枚举进程中的模块
Masimaro的专栏
05-16 3984
在Windows中枚举进程中的模块主要是其中加载的dll,在VC上主要有2种方式,一种是解析PE文件中导入表,从导入表中获取它将要静态加载的dll,一种是利用查询进程地址空间中的模块,根据模块的句柄来得到对应的dll,最后再补充一种利用Windows中的NATIVE API获取进程内核空间中的模块,下面根据给出这些方式的具体的代码片段:解析PE文件来获取其中的dll在之前介绍PE文件时说过PE文件中
RTL_PROCESS_MODULE_INFORMATION
weixin_30555515的博客
06-11 239
typedef struct _RTL_PROCESS_MODULE_INFORMATION { HANDLE Section; // Not filled in PVOID MappedBase; PVOID ImageBase; ULONG ImageSize; ULONG Flags; USHORT LoadOrderInd...
枚举系统模块信息
125096
01-22 2372
#include #include #include typedef struct _SYSTEM_MODULE_INFORMATION { ULONG Reserved[2]; PVOID Base; ULONG Size; ULONG Flags; USHORT Index; USHORT Unknown; USHORT LoadCount; USHORT Modul
2.API的调用过程(3进0
My classmates
10-16 1585
_KUSER_SHARED_DATA /*这是一个结构体,翻译过来就是: Kernel与User分享的一块数据。 0与3共享的一块内存 */ 在User层和Kernel层分别定义了一个KUSER SHARED DATA结构区域,用于User层和Kernel层共享某些数据 它们使用固定的地址值映射,_KUSER_SHARED_DATA结构区域在User和 Kernel层地址分别为: User...
NtQuerySystemInformation参数详解
热门推荐
oldmtn的专栏
02-14 2万+
NtQuerySystemInformation函数,其中SystemBasicInformation(0号功能)返回的结果是一个SYSTEM_BASIC_INFORMATION结构,其中的域bKeNumberProcessors将返回系统CPU的个数。 下面是该函数的具体说明: /×---------------------------------------------------
0和3通信
qq_41490873的博客
03-27 1202
消息是从窗口,发给窗口 。在0就需要一个设备对象来接收消息 设置交互数据的方式 缓冲区方式读写 DO_BUFFERED_IO 这种通信方式是把三的buffer拷贝到0,然后0再去读 适合数据较少时的情况 直接读写方式DO_DIRECT_IO 直接读写,就是把3和0的buffer映射到同一个物理页,然后把这个物理页锁起来。比较浪费内存,适合数据量大的情况 第三种方式:0直接到3...
进程中dll模块的隐藏
xjh_Love_paopao的专栏
07-21 1557
 http://netroc682.spaces.live.com/        为了避免自己的某个dll模块被别人检测出来,有时候希望在自己加载一个dll之后,或者将dll注入到他人进程之后避免被检查出来。这就需要想办法抹掉这个dll的模块信息,使得Toolhelp、psapi等枚举模块的API无法枚举它。        我们可以先简单看看Windows枚举进程内模块的办法吧:  
关于msdn中NtQuerySystemInformation函数说明
babihehe的专栏
06-12 5464
函数原型 typedef   NTSTATUS   (__stdcall   *NTQUERYSYSTEMINFORMATION) ( IN                 SYSTEM_INFORMATION_CLASS    SystemInformationClass, IN   OUT       PVOID
获取模块.dll文件 基址+偏移的
最新发布
07-14
总结:通过加载模块获取模块信息,我们可以得到模块基址和偏移。然后,我们可以根据需要进行地址计算来获得具体的地址。需要注意的是,以上示例是使用C++编程语言的示例,其他编程语言也有类似的函数或方法可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值